继LiteLLM后,周下载量超1亿次的Axios也被“投毒”!

继上周,中几乎所有前端开发者都用过的 HTTP 客户端库 Axios 也“惨遭毒手”: 两个官方版本被植入后门,只要在窗口期执行过 npm install,黑客就能拿到你设备的完整控制权。

Axios遭供应链投毒攻击(附排查与紧急补救指南)

事件概述2026 年 3 月 31 日,著名云安全平台 StepSecurity 监测到,在 JavaScript 生态系统中最受欢迎的 HTTP 客户端库 Axios(每周下载量超 3 亿次)遭遇了严重的供应链攻击。攻击者劫持了 Axios ...